编者按

随着计算机网络的日益发达 ，网络安全一直是国内外科学家与公众关心的话题，如何建构一个“太平”的网络世界？且看科学网博主对此话题的探讨。

■万平国

前几天，勒索病毒（WannaCry）在全球范围内肆虐，让不少政府、高校、加油站、火车站、医院等公共服务机构的计算机被感染。不过在我看来，可怕的不是这个勒索病毒，而是大家对它的反应，尤其是中国人。

WannaCry病毒有多厉害？真相是，该病毒就是一普通的蠕虫病毒，同所有的蠕虫病毒一样，它利用了Windows的一个漏洞，进行交叉感染传播，导致病毒疫情的爆发。

问题是，到目前为止，我们没有有效控制流行病疫情爆发的手段，无非是“头痛医头、脚痛医脚”。这一次，也不例外。

不少政府机构和相关职能部门，都给出了一些“措施”。这些措施绝大多数是“应急的”，甚至是“应景的”，而不是应对措施。比如：“打补丁”“装杀毒软件” “封端口”等，其实这些措施既不解决现实问题，也不解决将来的问题，属于“political correct”的套话。

简单地说，WannaCry背后有两个科学问题：一是蠕虫病毒疫情的动力学传播问题。蠕虫病毒是不可能被消灭掉的，总会有人去研究蠕虫病毒。问题是蠕虫病毒的动力学传播，会不会爆发疫情？这个是可以研究的，而且是可以控制的。通过改变蠕虫动力学传播的某些变量和参数，甚至是改变它的方程，控制疫情的爆发，是我们的主要任务和工作。

二是密码学问题。WannaCry病毒的蠕虫特性只是一个手段，要造成大规模疫情，真正的威胁是加密。加密的动机是勒索要钱，故又称勒索病毒。对计算机内的文档、图片等实施高强度加密，并向用户索取比特币支付赎金。这个问题目前还没有解。如果有人告诉你，能帮你解密，基本上可以断定为骗子，或者病毒就是他弄的，解密的密钥就在他手上。

安全是个老领域，也是个新课题。我国最近把安全领域上升为安全学科。不过，客观地说，安全学科离安全科学还有点远，主要表现在以下方面。

一是不可证明性。缺乏坚实的理论基础，确定性的结论不多。二是实验可重复性差。如果理论上难以证明，实际验证可重复，而且重复性高也成。令人遗憾的是，安全验证的可重复性很差。三是可度量性差。安全难以度量，不安全倒是好度量。很难通过度量来改善安全。四是缺乏体系性。没有一个完整的理论框架和架构。

WannaCry再次提醒我们，现实很严峻。如同电信基础设施发展了，电信诈骗的问题却很难解决。互联网应用壮大了，可互联网的安全问题越来越突出。责任是互联网接入服务商担，还是内容提供商担，或是让消费者自己担？只管盲目发展应用，不管安全，WannaCry危机就是要支付的代价之一。

WannaCry勒索病毒并可怕，倒是大家对它的认识、反应和措施，真有点让赛先生急了。

（http：//blog.sciencenet.cn/u/michaelwan）